md的畅想
md虽然问世不久,但其相对于其它一流的hips自有优势:1.rootkit检测
2.完善的组,有程序组和对象组
3.支持临时规则
4.友好的询问框,支持进程加入组,支持对象自定义,支持创建临时规则和永久规则
所以它的规则逻辑虽然不如eq等清晰,不便于阅读,也不便于制定通用规则,更难以制定出像大将军的超安静规则,但在使用中动态制定规则却非常方便,和ssm的理念较为接近。
因为md有如此好的基础,再加上作者惊人的更新速度,所以才有了畅想的可能。
一、子进程的权限继承
即子进程继承父进程权限并遵循权限最小化原则。
这个我已经说过多次,因为它的实现将会使规则创建大大简化,询问次数也将大大减少。
现在的md已经有安装组,既保证了程序的正常安装,同时也不至于使整个系统都处于安全真空。但仅仅将安装程序加入安装组,仍然可能会有不少询问,因为安装时往往会生成很多临时文件并会调用许多程序,这样我们就要在询问时把它们一一加入安装组。
有了继承情况就大大改观,只需应答一个询问即可无干扰完成安装。
另一个主要应用就是跟踪程序行为。现在测试病毒行为,我们要为病毒程序建立所有规则,但病毒在运行过程如再有调用,我们还得为其手动创建所有规则,非常麻烦。如果为了省事而建立全局所有规则,那么询问将会使你忙得不可开交。而继承将是解决该问题的最佳方法。
当然继承应该也有其它用途,比如目前md难于建立通用规则,但有了继承,就可以建立通用组,而个别需要缩小权限的程序可专门制定规则,因为继承遵循权限最小化原则,当不会影响安全性。
所以继承将是hips安全性和易用性的一个重要的平衡点。
二、可疑程序运行时备份
有了继承,也才能谈备份。
当前hips使用的难点是判断难。面对一个未知程序的行为,不要说新手,即使老手,在不知该行为造成的结果之前,要决定是放行是还是拦截也有困难。比如一个程序要修改tcpip.sys,怎么办?一般做法是先阻止,如有影响再允许,很麻烦也暗藏风险;或者手动备份再允许,如有问题再替换,也很麻烦。
如果hips自带允许并备份、阻止并回滚选项,事情就会简单得多。
可以做两种设计:
1.程序运行后开始备份它及其子进程对文件和注册表所做的任何修改,进程终止时还原修改或可手动选择还原
2.在文件和注册表规则或询问中添加允许并备份、阻止并回滚选项,从而可以当进程触发高危规则时可自动还原,或也可手动选择还原
这样,我们对未知程序的判断就多了非此即彼外的另一种模糊选择,从而使程序易用且不降低安全性。因为ad方面,除了底层操作本来就不敢随便允许,允许后就很难复原之外,进程间操作的危害一般随着进程的终止或系统的关闭就消失了。
所谓智能的主防大都有备份功能,但它针对除白名单外的所有进程,占用资源较大,且只有触犯规则时才能还原;
沙盘也是备份,安全性高一些,但要让沙盘进程访问重定向后文件,技术难度较大,有时会出现这样那样的问题;
而hips加入备份功能,便无上述两种程序的弊端,对已知程序的行为自然不用备份,也不必担心因没有触犯规则无法还原,更不会出现无法访问的问题。
三、文件及注册表快照功能
这个以前提过,但没有较明确的构想,现在还没有,不过如能提供某分支或某扩展名的快照比较功能,可以使用户对系统重要部位的变化心中有数。
可能与此无关的一个问题,kis8能自动加入对信任程序的保护规则,md是否也考虑一下保护系统程序和信任程序不被修改,同时也包括规则中的通配程序,假如规则允许c:\windows\system32\*对c:\windows\system32\*的完全访问权,就要保证c:\windows\system32\*不被修改,如能自动加入保护最好。
顺便再提一点,询问时对进程主体有校验并提示,希望对对象也能,当然这个小问题。
以上看法无任何技术含量,因为本来自己就不懂一点技术,有些也受网友启发或做过交流,啰嗦半天只为游说md作者,促成这些功能的实现。欢迎拍砖。
[[i] 本帖最后由 sxingbai 于 2008-8-13 20:55 编辑 [/i]] 写得不错,可能是MD区第一篇比较详实的介绍与讨论文章。支持一下,等着看完整版。^_^
PS,如果占到楼了,一会儿我会删掉。:)
回复 2楼 Devy 的帖子
呵呵,已经臭了,不敢再长到二楼了刚才写了一半吃饭 *** 作者被禁止或删除 内容自动屏蔽 *** 第二点非常希望的
还有就是个人希望全局规则和单个应用程序规则剥离开来 成为两个模块。。。。
单个大于全局
方便的一个是管理 一个是AD的操作性 和规则制定 方便理解逻辑
[:05:]
另外目前某组下程序的规则修改有点麻烦 只能遵循组规则
假设只是为了管理方便 或部分需要例外就不太方便了
最好程序规则也有 大于组规则
[[i] 本帖最后由 lsyer 于 2008-8-13 21:18 编辑 [/i]]
回复 5楼 lsyer 的帖子
组成员不是可以调整吗另外如果与组权限差别较大的
干脆就单独建立程序规则算了
回复 6楼 sxingbai 的帖子
就比如子应用程序这项就只能加在组规则里比如某程序我只想让组里的特定程序调用
那就不行了
部分小的差别就要重开一个组
组降低制作规则量的目的就不能了
还有就是在一个应用程序某动作弹框提示的时候 直接加组的话
设该步动作允许 一样会被带入组规则里
会造成组规则重复冗余 或冲突 或无法起效。。。
这个比较麻烦的。。 第二点不错
第三点似乎作用不大,而且如果实现了备份和回滚也不必实现第三点了吧
另外,建议给作者“安软官方人员”的头衔,这样也容易辨认 总体来说是加入一些沙盘的处理机制的作法,我想这个有可能会是今后HIPS发展趋势之一。
权限继承,目前能做到的HIPS其实不多,实现的方法并不是真正用继承来实现的,都是用“具体程序规则是组(全局)规则的例外”、以及规则优先级来进行控制的,要想在这样的机制上强化权限的继承处理,空间有限,逻辑复杂度也会极速增长。但如何才能真正实现权限的“继承”关系处理呢?。。。
回复 8楼 rappar 的帖子
[quote]建议给作者“安软官方人员”的头衔,这样也容易辨认
[/quote]
多谢提醒。^_^
回复 8楼 rappar 的帖子
第三点本来就是凑的因为以前说过,再提下,也是怕有时关掉防护不放心
ps新版可能会有继承,im藏着测试版[:09:] [quote]原帖由 [i]sxingbai[/i] 于 2008-8-13 18:40 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4482431&ptid=305831][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
md虽然问世不久,但其相对于其它一流的hips自有优势:
1.rootkit检测
2.完善的组,有程序组和对象组
3.支持临时规则
4.友好的询问框,支持进程加入组,支持对象自定义,支持创建临时规则和永久规则
所以它的规则 ... [/quote]
感谢提出这么好的建议![:01:]
一、关于继承,我目前还是觉得从代码实现到用户操作都有些复杂,也许我还没理解透,所以暂时先不实现。另外继承虽然对处理安装程序有用,但是也可能产生安全漏洞。
二、这个相当于实现那种uninstaller软件的功能吧,不过程序如果有驱动,驱动中进行的操作不一定能拦截。这个功能的具体实现方式我还需要考虑。
三、MD现在对信任的程序是有内置的保护的,如果修改程序文件,会有询问。询问时如果对象是应用程序、驱动或钩子模块,也会进行校验,只是由于空间限制,校验的结果在tooltip中。
对于MD以后的发展,长期的实现目标是:
1. 增加网络保护(ND)
2. 增加智能模式,规则为询问的情况智能处理。
不过这两项都不容易实现,要先选择其一来做。
我现在要花点时间升级Registry Workshop,然后再回头搞MD,短期的目标是解决发现的bug,增强稳定性,增加一些提高易用性的小功能,尽量不对框架做大的修改。
回复 12楼 sandworm 的帖子
恩,好,稳扎稳打,不要听楼主的胡言乱语[:01:]回复 13楼 baerzake 的帖子
哈哈,你就稳吧不是因为作者的更新能力我也懒得胡言乱语
看来确实又一次废话了
不过我在说继承时同时遵循权限最小化原则
对md几乎不可能
因为没有软件限制策略或kis那种等级组
但还是可以像气流所说的有断开继承的设置
算了,既然是废话就不再多说了 搞個通通用規則最重要
規則不好 啥都是屁話
是通通用規則喔[:14:] [quote]原帖由 [i]sxingbai[/i] 于 2008-8-14 18:17 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4491067&ptid=305831][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
哈哈,你就稳吧
不是因为作者的更新能力我也懒得胡言乱语
看来确实又一次废话了
不过我在说继承时同时遵循权限最小化原则
对md几乎不可能
因为没有软件限制策略或kis那种等级组
但还是可以像气流所说的有断开继 ... [/quote]
真的非常感谢你的建议,只是我还没想好到底该怎么做。现在我的主要精力用在升级RW了,过几天完工后我再仔细考虑。 真是猪,只知道规则[:09:]
规则也要依附于框架呢
看来还是ps新版 茄 給你你要的框架
你也搞不出來通通用規則吧[:08:]
回复 16楼 sandworm 的帖子
ok我只是觉得hips目前的发展重点就是易用性
就是你说的那些小玩意
其实目前hips的防护能力不是专门测毒都够用了
因为就病毒入驻的途径而言
防网马和u盘对hips小菜
关键是安装
如果能解决安装中大部分安全问题
就基本防住了病毒的所有入口
回复 18楼 kuririn 的帖子
啥叫通通用规则笨得连规则也不会编
还唧呶啥[:10:]
哎,道不同不相谋
页:
[1]
2